For lidt over 2 måneder siden, vi deler her på bloggen sagsnotatet om bagdøren i XZ-værktøjet, I samme indlæg delte jeg også min mening, hvor jeg nævnte, og stadig vil nævne, at denne sag vil være noget, der vil blive talt om i lang tid, da "Det er et af de bedste eksempler på anvendt social engineering."
også På det tidspunkt delte vi nogle ekstra opslag, hvor de forskellige handlinger, der blev foretaget i sagen, blev samlet, samt hvordan situationen var mulig og vil gå ubemærket hen i lang tid.
Og nu, Forfatteren og den oprindelige vedligeholder af xz-projektet, Lasse Collin, annoncerede offentliggørelsen af de nye korrigerende versioner fra XZ Utils 5.2.13, 5.4.7 og 5.6.2. Disse versioner fjerner komponentbagdøre og andre mistænkelige ændringer, som tidligere er accepteret af Jia Tan.
Sammen med offentliggørelsen af korrigerende versioner, Lasse Collin delte også en anmeldelsesrapport om Git-depotet, inklusive de foretagne ændringer siden december 2022, hvor Jia Tan var vedligeholder af projektet. Rapporten beskriver de ændringer, der er blevet analyseret på det enkelte commit-niveau, og nævner, at selvom commits i depotet ikke var digitalt signeret, blev der ikke fundet tegn på manipulation fra committerne. I alt blev otte ondsindede commits fjernet fra depotet.
Y selvom der var nogle ændringer, der var mistænkt af indførelsen af ondsindede ændringer fra 2023, men vi kan bemærke, at rapporten beskriver det De første ændringer, der blev implementeret for introduktionen af bagdøren, går tilbage til begyndelsen af 2024, hvor Jia Tan allerede havde mere aktivitet i forbindelse med introduktionen af bagdøren i XZ.
Disse komprimerede filer blev oprettet og underskrevet af Jia Tan. Disse er blevet gennemgået og indeholder ikke skadeligt indhold.
BEMÆRK
Taggene v5.2.11 og v5.4.2 i Git-lageret blev signeret af Jia Tan, men tar-filerne blev oprettet og signeret af mig.
Med følgende undtagelser matcher filer i Git-lageret tar-filer:.po-filer opdateres som en del af make mydist (eller make dist)
ChangeLog er en fil genereret i tar-arkiver.
Hver version er tilgængelig i mere end ét komprimeringsformat. .tar-dekomprimeringen er den samme for alle komprimeringsformater af hver version.
Fillisterne i zip-filerne er gode. For eksempel vises den samme fil ikke mere end én gang.
PDF-filer er svære at reproducere, da de indeholder et tidsstempel og også afhænger af versionen af de værktøjer, der bruges. PDF-filer ser dog normale ud, og deres filstørrelser er også normale (de afviger kun med få bytes).
Også i rapporten det nævnes, at CRC-koden CLMUL, som genererer falske positiver ved kontrol med MSAN (hukommelsesrenser) og problemer med OSS Fuzz, er den endnu ikke blevet fjernet fra kodebasen. Selvom denne kode er planlagt til at blive omarbejdet i fremtiden, er det indtil videre blevet besluttet ikke at røre ved den for at undgå regressioner i gamle grene. Ingen mistænkelige ændringer blev identificeret i gamle commits tilføjet før ændringerne forbundet med bagdøren. Derudover blev lokaliseringen af po-filer, metadata i tar-filer og filer med versioner og oversættelser verificeret separat.
Ud over det også ændringer nævnes for at inkludere inklusion af forsinkede fejlrettelser og fjernelse af understøttelse af IFUNC-mekanismen leveret i Glibc til indirekte funktionskald, som blev brugt til at organisere bagdørsfunktions-aflytning. Det er vigtigt at bemærke, at brug af IFUNC kun komplicerer koden, og ydeevnegevinsten er ubetydelig. Som en sikkerhedsforanstaltning blev XZ-logoet, PDF-versioner af man-siderne og to test for x86- og SPARC-arkitekturerne, som behandlede objektfiler som input, også fjernet fra kildepakken.
Som forbedringer, der blev gennemført, findes f.ekseller i xzdec-dekoderen tilføjet understøttelse af ABI version 4 af isolationsmekanismen af Landlock-applikationer. Derudover blev "–enable-doxygen"-indstillingen tilføjet til Autotools build-scripts, og ENABLE_DOXYGEN-parameteren blev tilføjet til Cmake-scriptet for at generere og installere dokumentation til liblzma API'et ved hjælp af Doxygen. Tidligere genereret dokumentation er også blevet fjernet fra pakken for at reducere størrelse og kompleksitet.
endelig hvis du er det interesseret i at vide mere om det, Du kan tjekke detaljerne i publikationen i følgende link.